Si su firewall está examinando todos y cada uno de los paquetes que se le envían, entonces un “escaneo” de sus hosts o redes sería una serie de paquetes TCP_SYN con diferentes números de puertos de destino de un solo host, o una única red de máscara de red pequeña, dentro de un “pequeña” cantidad de tiempo.
Esto plantea algunas interesantes preguntas de seguimiento:
- ¿Cuántos números de puerto diferentes constituyen un “escaneo”?
- ¿Qué tan grande o pequeño período de tiempo deben agruparse estos paquetes para ser un “escaneo”?
- ¿Qué tan grande o pequeño debe agruparse un número de direcciones IP remotas distintas para constituir un “escaneo”?
“Lo sé cuando lo veo” es un poco difícil de traducir al código del programa.
- ¿Cuál es el impacto de Internet de las cosas en el diseño y el volumen de la batería?
- ¿Dónde está conectado el modelo OSI a la red?
- ¿Qué causa una pérdida de paquetes del 100% y cómo se puede solucionar este problema?
- ¿Alguien puede explicar sobre las capas OSI 7?
- ¿Hay alguna forma de cambiar mi IP para evitar hackers?
Tenga en cuenta que el escaneo, aunque posiblemente sea el preludio de un ataque, no es en sí mismo un acto hostil, ya que es muy difícil distinguir entre:
- un paquete cuyo propósito es configurar una conexión TCP real a un servicio o demonio en uno de sus hosts, y
- un paquete que se envía para determinar qué servicios ofrecen sus hosts.
Si responde de una manera que no sea completamente pasiva (por ejemplo, enviando un paquete de respuesta / defensa, o cualquier otra cosa que no sea un paquete ICMP “puerto inalcanzable” o TCP SYN_ACK), es posible que responda a una indicación falsamente positiva de un “escaneo” cuando haya no es uno, y posteriormente tener que explicarte a un compañero amigable.
Además, tenga en cuenta que existen mitigaciones contra los criterios de la política del detector de escaneo: use más hosts, extienda las sondas a tiempo, etc.